会话Cookie安全/httponly

我在网上搜索了很长一段时间，但是我没有找到一个满意的答案来回答我的问题

我必须从某个http站点获取json对象。我通过http上的get请求来实现这一点（站点仅通过http可用）。该站点使用会话cookie进行响应：

设置Cookie:session_id=95656983e1feaff45a000aa7f2f9093a1ea4b1c3；expires=2018年4月20日星期五14:00:51 GMT；httponly；最大年龄=3600岁；路径=/；稳妥

我的第一个问题是，当设置了httponly&secure标志时，为什么通过http发送cookie

在我得到json对象之后，我必须做一些有趣的事情，并将json对象发送回同一域的另一个站点。此外，此站点仅可通过http访问。（我在python中使用python请求处理请求，并使用requests.session（）处理Cookie，因此没有问题）。当我用mitmproxy查看请求的标题时，我发现没有设置cookie，页面的响应是“我的cookie在哪里？”

---

我认为问题在于httponly和sercur标志。我只是不知道如何处理它，因为页面只能通过http而不能通过https使用？

安全属性指示客户端/浏览器在使用安全通道时仅返回cookie，但这样的cookie可以由应用程序/服务器通过普通http设置到客户端/浏览器上。您是对的，安全标志导致了问题，但恐怕无法解决此问题

Thx以获取解释。我试图设置一个自己的cookie，但没有使用相同会话id的安全和仅http标记。服务器仍然会响应“我的cookie在哪里？”。我遗漏了什么吗？也许这里有一些领域的差异。如果您没有明确设置域，那么客户端解释的有效域可能与您期望的不同。我认为您可以通过设置显式域来尝试。另一个问题可能会有所帮助：另一个关于Cookie中所有域的好链接